Per affrontare la crescente minaccia di attacchi alla supply chain del software, Google ha proposto il framework Supply chain Levels for Software Artifacts, o SLSA che si pronuncia “salsa”.
Aggressori sofisticati hanno capito che la catena di fornitura del software è il ventre molle dell'industria del software. Oltre al rivoluzionario hack di SolarWinds, Google punta al recente attacco alla catena di approvvigionamento Codecov, che ha colpito l'azienda di sicurezza informatica Rapid7 tramite un uploader Bash corrotto.
Sebbene gli attacchi alla catena di approvvigionamento non siano una novità, Google osserva che si sono intensificati nell'ultimo anno e hanno spostato l'attenzione dagli exploit per le vulnerabilità del software note o zero-day.
VEDERE: Norme sulla sicurezza della rete (TechRepublic Premium)
Google descrive SLSA come “un framework end-to-end per garantire l'integrità degli artefatti software in tutto la catena di fornitura del software.”
Prende l'iniziativa dalla “Binary Authorization for Borg” (BAB) interna di Google, un processo che Google utilizza da più di otto anni per verificare la provenienza del codice e implementare l'identità del codice.
L'obiettivo di BAB è ridurre il rischio interno assicurando che il software di produzione distribuito presso Google sia esaminato correttamente, soprattutto se il codice ha accesso ai dati dell'utente, nota Google in un white paper.
“L'obiettivo di SLSA è migliorare lo stato del settore, in particolare l'open source, per difendersi dalle minacce più pressanti all'integrità. Con SLSA, i consumatori possono fare scelte informate sulla posizione di sicurezza del software che consumano”, ha affermato Kim Lewandowski di Il team di sicurezza open source di Google e Mark Lodato, del team BAB.
SLSA cerca di bloccare tutto nella catena di creazione del software, dallo sviluppatore al codice sorgente, la piattaforma di compilazione e i sistemi CI/CD, il repository dei pacchetti e le dipendenze.
Le dipendenze sono un importante punto debole per i progetti di software open source. A febbraio, Google ha proposto nuovi protocolli per lo sviluppo di software open source critico che richiederebbero revisioni del codice da parte di due parti indipendenti e che i manutentori utilizzano l'autenticazione a due fattori.
Si ritiene che i livelli SLSA più elevati avrebbero aiutato a prevenire l'attacco al sistema di build del software di SolarWinds, che è stato compromesso per installare un impianto che ha iniettato una backdoor durante ogni nuova build. Sostiene inoltre che SLSA aiuterebbe nell'attacco CodeCov perché “la provenienza dell'artefatto nel bucket GCS avrebbe dimostrato che l'artefatto non è stato creato nel modo previsto dal repository di origine previsto.”
VEDI: GDPR: le multe sono aumentate del 40% lo scorso anno e stanno per aumentare notevolmente
Mentre il framework SLSA è solo una serie di linee guida per ora, Google prevede che la sua forma finale andrà oltre le migliori pratiche attraverso l'esecutività.
“Sosterrà la creazione automatica di metadati verificabili che possono essere inseriti nei motori di policy per fornire “certificazione SLSA” a un particolare pacchetto o piattaforma di build”, ha affermato Google.
Lo schema è costituito da quattro livelli di SLSA, quattro dei quali rappresentano lo stato ideale in cui sono protetti tutti i processi di sviluppo del software, come illustrato di seguito.
Sicurezza
I migliori browser per la privacy: Naviga al sicuro su Internet, il grande male Cyber security 101: Protect la tua privacy da hacker, spie e governo I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per l'autenticazione a due fattori Ransomware: fai queste tre cose per proteggere la tua rete dagli attacchi (ZDNet YouTube)
Argomenti correlati:
Data center CXO per la gestione dei dati di Google Security TV 